Hlavní navigace

Názor ke zprávičce Roste počet útoků typu SQL Injection od Mi.Chal. - Tak ono celkem staci ty parametry pouzit skutecne...

  • Aktualita je stará, nové názory již nelze přidávat.
  • 20. 7. 2006 9:50

    Mi.Chal. (neregistrovaný)
    Tak ono celkem staci ty parametry pouzit skutecne jako parametry a ne z nich trapne skladat nejaky sql prikaz - nevim jestli to podporuje php, ale normalni jazyky to maji celkem standardne. Pak ten kod vypada (v ilustracnim pseudo jazyku :-)) treba takhle:

    query.sql.text = "update users set name = :name where id = nejakeJehoId";
    query.params["name"] = coMiZadalUzivatel;
    query.execute;

    pak je mi uplne jedno, jestli jako jmeno uzivatel zadal "'I AM BIG HACKER; delete from users" nebo cokoliv jineho, protoze se tim akorat nastavi to pole v db, ale neprovede se to jako vlastni sql prikaz. Takhle se daji jednoduse i ukladat binarni data